pred pár dňami Výskumníci z tímu Google Project Zero zverejnili výsledky zhrnutím údajov na čas odozvy výrobcov predtým objavenie nové zraniteľnosti vo svojich produktoch.
V súlade s pravidlami Google, je poskytnutých 90 dní na odstránenie zraniteľností identifikované výskumníkmi Google Project Zero pred ich zverejnením a je povolené aj ďalšie zverejnenie. možno zmeniť na ďalších 14 dní na základe samostatnej žiadosti.
Takže v podstate po 104 dňoch sa zraniteľnosť odhalí, aj keď problém stále nie je opravený.
Od roku 2019 do roku 2021 projekt identifikoval 376 problémov, z toho 351 (93,4 %) Boli opravené, zatiaľ čo 11 (2,9 %) zraniteľností zostalo neopravených a ďalších 14 (3,7 %) problémov bolo označených ako neopraviteľné (WontFix).
V priebehu rokov, došlo k poklesu počtu zraniteľností pre ktoré sa záplaty nezmestia do vyhradeného času na opravu: V roku 2021 14 % požiadalo o ďalších 14 dní na opravu a iba jedna chyba zabezpečenia nebola pred zverejnením opravená.
V tomto príspevku sa pozrieme na opravené chyby, ktoré boli nahlásené medzi januárom 2019 a decembrom 2021 (rok 2019 je rokom, kedy sme vykonali zmeny v našich zásadách zverejňovania informácií a začali sme tiež sledovať podrobnejšie metriky o nahlásených chybách).
Údaje, na ktoré sa budeme odvolávať, sú verejne dostupné na Project Zero Bug Tracker a rôznych repozitároch projektov s otvoreným zdrojovým kódom (v prípade údajov používaných nižšie na sledovanie časovej osi chýb prehliadača s otvoreným zdrojom).
Predajcu |
Totálne chyby |
Opravené do 90. dňa |
opravené počas |
Prekročený termín & ochranná lehota |
Priem. počet dní na opravu |
jablko |
84 |
73 (87%) |
7 (8%) |
4 (5%) |
69 |
Microsoft |
80 |
61 (76%) |
15 (19%) |
4 (5%) |
83 |
|
56 |
53 (95%) |
2 (4%) |
1 (2%) |
44 |
Linux |
25 |
24 (96%) |
0 (0%) |
1 (4%) |
25 |
adobe |
19 |
15 (79%) |
4 (21%) |
0 (0%) |
65 |
Mozilla |
10 |
9 (90%) |
1 (10%) |
0 (0%) |
46 |
Samsung |
10 |
8 (80%) |
2 (20%) |
0 (0%) |
72 |
veštec |
7 |
3 (43%) |
0 (0%) |
4 (57%) |
109 |
iní* |
55 |
48 (87%) |
3 (5%) |
4 (7%) |
44 |
CELKOM |
346 |
294 (84%) |
34 (10%) |
18 (5%) |
61 |
V priemere sa uvádza, že oprava zraniteľnosti trvá v priemere 52 dní v roku 2021, 54 dní v roku 2020, 67 dní v roku 2019 a 80 dní v roku 2018.
Na strane najrýchlejšie opravené zraniteľnosti sú zvýraznené v linuxovom jadre a spomína sa, že v rokoch 15, 22 a 32 je to v priemere 2021, 2020 a 2019 dní.
Kým Microsoft vydal opravu najpomalšie, pričom to trvalo v priemere 76, 87 a 85 dní (podľa prvej tabuľky s celkovým časom reagoval Oracle pomalšie: 109 dní na to). Apple to opravilo v priemere 64, 63 a 71 dní. V prípade produktov Google bol priemerný čas na generovanie opráv v priebehu rokov 53, 22 a 49 dní.
V súvislosti s našimi údajmi existuje niekoľko upozornení, z ktorých najväčšia je, že sa budeme pozerať na malý počet vzoriek, takže rozdiely v číslach môžu, ale nemusia byť štatisticky významné.
Okrem toho je smerovanie výskumu Project Zero takmer úplne ovplyvnené voľbami jednotlivých výskumníkov, takže zmeny v našich výskumných cieľoch by mohli zmeniť metriky rovnako ako zmeny v správaní dodávateľov. Pokiaľ je to možné, táto publikácia je navrhnutá tak, aby bola objektívnou prezentáciou údajov s dodatočnou subjektívnou analýzou zahrnutou na konci.
Z výrobcov prehliadačov sa opravy generujú najrýchlejšie pre Chrome, ale vydanie po objavení sa opravy robí Firefox rýchlejším (v prehliadačoch Chrome a Safari zostáva už opravená zraniteľnosť v kóde pre používateľov dlho skrytá, čo využívajú útočníci).
Nakoniec sa uvádza, že poskytovatelia časom opravia takmer všetky chyby, ktoré dostanú, a vo všeobecnosti tak urobia do 90 dní plus 14-dňová dodatočná lehota, keď je to potrebné.
Za posledné tri roky predajcovia z väčšej časti zrýchlili svoje opravy a efektívne znížili celkový priemerný čas opravy na približne 52 dní.
konečne, ak máte záujem dozvedieť sa o tom viac môžete skontrolovať podrobnosti v nasledujúci odkaz.